Pull to refresh

Comments 15

UFO just landed and posted this here
Спасибо за вопрос Vasily_T. Такой режим работы нужен по той причине, что ModSecurity — это модуль и сам по себе работать не может. Конечно же, можно залить и сам сайт на этот NGINX, как этот предлагают в самой компании с помощью коммерческого продукта NGINX Plus. Но перенос сайта на отдельную машину создаст прирост в производительности и в случае взлома не затронет основной ресурс. Такую технологию используют в гос структурах и крупных предприятиях, так как гибкость архитектуры сети определяется ее многослойностью. По этому лучше если каждый элемент будет выполнять только одну функцию. Это позволит повысить безопасность, так как остальные службы будут запрещены из вне и останется только настроить взаимосвязь между 2-мя машинами, которые выполняют только поставленную задачу. Так же на практике такое построение сети будет лучше по той причине, что скорость развертки будет выше. Так как вы используете отдельные ее компоненты. Хочу отметить что особо удобно все это засунуть в отдельные контейнеры (Докер). Это позволит развернуть структуру в 2 клика.
Вы сначала ставите nginx из репозитория, а потом пересобираете его же из исходных кодов для добавления поддержки ModSecurity. А не возникнут ли проблемы с этим при обновлении системы? Если вдруг в репозитории окажется более новая версия, то система ее обновит и все сломается, насколько я понимаю.

Это сделано для того чтобы самому не задавать пути при сборке. Тогда все на своем месте. Для неопытных пользователей это будет плюсом. И потом в начале я добавил версию которая должна быть установлена при обновлении Nginx, по этому обновление системы никак не повлияет на работу. Пересобран он просто для подключения модуля, ведь в open source его нет

… И потом в начале я добавил версию которая должна быть установлена при обновлении Nginx, по этому обновление системы никак не повлияет на работу…

Вы где-то «залочили» версию Nginx? В статье я этого не увидел.

Пересмотрел пост. Вы правы, спасибо. Скорее всего ничего не вылетит, но все же для перестраховки лучше залочить версию. Видно я просто забыл за это. Сегодня подправлю это. Я здесь привязал только до версии дистрибутива и забыл сказать в скобках версию nginx

шел 2019 год… yum install gcc gcc-c++ && make install) сборочный мусор на рабочих серверах)))
почему нельзя просто написать nginx-modsecurity.spec,
отправить его в https://copr.fedorainfracloud.org/,
и через 10 имнут получить свой репозиторий со своим динамическим модулем modsecurity?
Статья короткая получится, точно!!

А в чем конкретно здесь проблема?
Это ведь обычный гайд по ручной установке. Чтобы люди, которые начинают свой путь в данной области могли разобраться на примере точной и поэтапной установки. С таким успехом можно вообще много чего сделать (не така как здесь). А если прочитать этот пост через год, когда например тема ВАФ возможно уже не будет актуальнтй из-за новых технологий...

"проблема" в том, что это хабр, или мне бы хотелось, что бы это оставалось Хабром… хотелось бы верить, что аудитория сама может открыть гитхаб и прочитать configure && make && make install, а в статьях будет что-то новое.
В любом случае, make install — единственный минус.
Спасибо, я обязательно попробую modsecurity )

Смотрите, в первую очередь спасибо за то подметили эти детали. И Вы полностью правы по поводу простоты. Проблема в том, что за все время, которое я потратил на изучение этого продукта я не увидел ни одного детального мануала, где были бы описаны все шаги "как для чайников". Так как хабр выручал меня довольно долго я решил написать этот пост, чтобы кто-то, такой как я, мог найти эту инструкцию здесь. К тому же, я отметил этот пост как "tutorial"

Посмотрел, да. Не убедительно.


  1. в EPEL есть libmodsecurity-devel-3.0.2, это ваш раздел номер 3, ничего собирать не надо.


  2. вот официальная вика https://github.com/SpiderLabs/ModSecurity/wiki
    в том числе



  3. "Nginx Connector" тоже имеет вику, которая приводит нас сюда https://www.getpagespeed.com/server-setup/nginx/install-modsecurity-nginx-module-on-centos-7 откуда легко получить и spec для сборки своего, или готовые пакеты, двухмесячной давности:



nginx-module-security-1.14.2.1.0.0-1.el7_4.gps.x86_64.rpm   24.0 KiB    2018-Dec-07 00:14

п.с. c openssl-1.1.1 у меня не собралось, придется багрепортить.

В качестве альтернативы можно попробовать Nemesida WAF Free — полностью бесплатный, представлен в виде динамического модуля Nginx, устанавливается и обновляется из репозитория, не требует компиляции, подключается за несколько минут к уже установленному Nginx (начиная с версии 1.12) + качественные сигнатуры с минимум FN и FP.

Установка: waf.pentestit.ru/about/2511
Информация по текущему набору сигнатур: rlinfo.nemesida-security.com
Спасибо!

Поиском по названию не получается оценить живость проекта, находит только ваши же статьи. Это не open source решение?
нет, это бесплатная версия коммерческого проекта
основное различие — в полноценной версии есть модуль машинного обучения, сканер уязвимости и т.д., но бесплатная версия (только сигнатуры) довольно эффективна при нецелевых атаках + события отображаются в личном кабинете (включая информацию об источнике атаки)

больше информации по бесплатной версии здесь: habr.com/ru/post/464935
Sign up to leave a comment.

Articles